EGセキュアソリューションズ株式会社
評価版申し込み
お問い合わせ

コメントスパム

 2020.07.21  2023.03.31 EGセキュアソリューションズ

ブログの標準的な機能の一つに各記事に対して閲覧者が書き込みをするコメントの機能があります。コメントを活用することで、閲覧者の感想や意見を新しい記事に反映したり、読者を獲得することができます。

ところがこのコメント機能が悪用され、広告目的などの無関係なメッセージが大量に書き込まれてしまうことがあります。本稿では、そんな迷惑なコメントスパムと対策について解説します。

コメントスパムとは

コメントスパムとは、Webページに設けられたコメント欄に広告目的などのメッセージを大量に送りつける行為です。

ブログなど、記事が掲載されたページの下に閲覧者が感想や意見などを投稿できるコメント欄が設けられているのを見たことがあると思います。本来、有意義であるはずのコメント欄に対して、Webサイトやページの内容とは無関係なメッセージを大量に書き込まれてしまうため、コメントスパムは非常に迷惑です。コメントスパムは、スパムボットなどにより機械的かつ無差別、大量にメッセージを送りつけます。電子メールにおけるスパムメールと同じ様であることからコメントスパム(またはスパムコメント)と呼ばれています。

コメントスパムによる被害、サイトへの影響には以下のようなものがあります。

  • 本来の目的と全く関係のない広告が書き込まれるなど、運営者・閲覧者ともに非常に迷惑である
  • 閲覧者が詐欺などの悪意のあるWebサイトへ誘導される危険性がある
  • ウェブサイトおよびページの品質が低下することで、検索結果の表示に影響を及ぼす可能性がある
  • 大量にメッセージが書き込まれることで帯域やディスクなどのリソースが無駄に消費されてしまう

迷惑なだけでなく、閲覧者に危険が及ぶ可能性やウェブサイトの品質や性能にまで影響があることが分かりました。コメントスパムは、WordPressなどのCMSでブログサイトを公開している運営者にとっても特に頭を悩ます問題の一つと言われています。

JP-Secure Labs Report Vol.02

JP-Secure Labs Report Vol.02
(2018年9月5日発行)

本レポートでは、当社パートナー企業のサービスを利用しているユーザー向けに、「WordPress」、「Drupal」といったCMS(Content Management System)のセキュリティに関する情報を中心にまとめています。また、本レポートでは、当社の定点観測で収集された情報をもとにした不正アクセスの傾向についても取り上げます。

資料ダウンロード

コメントスパム対策

それでは、どのようにしてコメントスパム対策をすれば良いのでしょうか?以下にいくつかの対策を示しますので、サイトに合うものや実装しやすい対策を検討してみてください。

Google reCAPTCHAの活用

Googleが無料で提供しているreCAPTCHAにより、機械的かつ無差別な大量メッセージによるコメント欄へのアクセスを禁止することができます。

執筆時点の最新であるreCAPTCHAのv3では、閲覧者とWebページとのやり取り(閲覧者のページ内での行動)に基づいてスコアを算出し、ボットなどからのアクセスでないかを判定します。reCAPTCHAのv2の場合は、指定された画像を選択する画像認証があります。Webサービスへのログイン時や入力フォームの送信時に「私はロボットではありません」にチェックを入れたことが一度はあるのではないでしょうか。このあとに指定された画像を選択するわけですが、判別が難しかったり、そもそも指定されている〇〇はどれ?みたいなことが時々あります。(経験のある方、多いのではないかと思います。)

reCAPTCHAのv3の場合、閲覧者がチェックを入れたり、画像選択による認証が不要になるため、よりスマートにコメントスパム対策を実装できるようになっています。

CAPTCHAによる画像認証

こちらも画像認証ですが、ページ上に表示された英数字やひらがなの画像を見て、同じ文字列を入力するタイプもあります。このとき、英数字やひらがなは歪んだかたちの画像で表示されています。画像で表示された文字列を入力するという操作を介さないとコメントが送信できないため、スパムボットなどからの機械的なアクセスを防ぐ効果があります。

画像認証

reCAPTCHA同様、上の画像のように表示された文字列を判別し、入力したことがある方が多いのではないでしょうか。(この画像の文字列は比較的に読みやすいタイプになっています。)

セキュリティ製品による高頻度アクセスの禁止

WAFなどのセキュリティ製品によっては、ページへのアクセス頻度をもとに高頻度のアクセスを遮断する機能を備えていることがあります。機械的に大量にメッセージを書き込まれた際に閾値をもとにアクセスを禁止するなど、サイトへ接続させないという対応が可能ですが、閾値に達しないようにアクセスされる恐れもあるため、前述の対策と組み合わせると効果的です。

WordPressなどのCMSを利用する場合、画像認証に対応したセキュリティプラグインが提供されていたり、前述のreCAPTCHAを実装するためのプラグインなども用意されていますので、有効に活用してください。

参考:
SiteGuard WP Plugin(当社提供 WordPress用セキュリティプラグイン)
Invisible reCaptcha for WordPress(外部サイト)

WAFとは

WAFとは

Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。

詳細はこちら

カスタム・シグネチャの活用方法
SiteGuard Server Edition バッチモードによるセットアップ方法

RECENT POST「用語」の最新記事

用語

2021.06.30

エクスプロイトコード
用語

2021.05.25

標的型攻撃(APT)の脅威とは?被害や対策方法について解説
用語

2021.04.14

フォレンジック・デジタルフォレンジックとは?
用語

2021.03.23

CVEとは?互換認定の制度についても解説
コメントスパム
5分でまるわかり!WAFによるサイバー攻撃対策
1分でわかる「SiteGuardシリーズ」
RECENT POST 最新記事
エクスプロイトコード

エクスプロイトコード
標的型攻撃(APT)の脅威とは?被害や対策方法について解説

標的型攻撃(APT)の脅威とは?被害や対策方法について解説
フォレンジック・デジタルフォレンジックとは?

フォレンジック・デジタルフォレンジックとは?
CVEとは?互換認定の制度についても解説

CVEとは?互換認定の制度についても解説
プロキシとは?フォワードプロキシやリバースプロキシの仕組みについても解説

プロキシとは?フォワードプロキシやリバースプロキシの仕組みについても解説
ブログ無料購読
RANKING人気記事ランキング
TOPIC トピック一覧
SEARCHブログ内検索